Для держателей сертификатов ISACA: До 15 февраля действует грейс период когда можно ещё сообщить о CPE 2024 года.
👍4
Американский ФСТЭК CISA выложил обновляемую базу известных эксплуатируемых уязвимостей (KEV) на гитхаб
https://github.com/cisagov/kev-data
https://github.com/cisagov/kev-data
GitHub
GitHub - cisagov/kev-data: Mirror of cisa.gov/kev data files
Mirror of cisa.gov/kev data files. Contribute to cisagov/kev-data development by creating an account on GitHub.
Обзор законодательства штатов США по приватности/требований по работе с данными.
https://epic.org/press-release-report-states-get-failing-grades-for-privacy-laws-but-tide-may-be-turning/
https://epic.org/press-release-report-states-get-failing-grades-for-privacy-laws-but-tide-may-be-turning/
EPIC - Electronic Privacy Information Center
PRESS RELEASE: REPORT: States get failing grades for privacy laws, but tide may be turning
<p>Nearly half of states that have passed consumer privacy laws get a failing grade for protecting consumers’ data, according to The State of Privacy, an updated scorecard from the Electronic Privacy Information Center (EPIC) and U.S. PIRG Education Fund.…
Ежегодный отчет Валларм по безопасности API. По оценке - треть эксплуатируемых уязвимостей из базы KEV это уязвимости API.
https://www.wallarm.com/press-releases/wallarm-releases-2025-api-threatstats-report
https://www.wallarm.com/press-releases/wallarm-releases-2025-api-threatstats-report
Wallarm
Wallarm Releases 2025 API ThreatStats Report, Revealing that APIs are the Predominant Attack Surface
Report finds a staggering 1,025% surge in AI vulnerabilities, with nearly all directly tied to APIs
www.splunk.com/en_us/form/ciso-report.html
Опрос 500 CISO и 100 членов правления Splunk 2024 про CISO:
1. Увеличение доли подчиненных CEO CISO c 47% в 2023 до 82% в 2024.
2. CISO заметно приукрашают качество своего взаимодействия с членами правления (разрыв в оценке 10-20 %).
3. 83 % CISO теперь часто или постоянно присутствуют на заседании правления.
4. Интересная статистика по восприятию того, чем занимается команда безопасности: члены правления считают, что на технические операции и взаимодействие с ИТ уходит заметно меньше времени, и заметно больше на времени посвящается учету требований бизнеса, комплаенсу и ROI\управлению стоимостью ИБ.
5. По мнению членов правления CISO должен немного меньше внимания уделять вопросам комплаенса и взаимодействия и больше вопросам коммуникации и эмоционального интеллекта, бизнес ценности.
6. При этом члены правления, считают, что оценка эффективности CISO должна в большей степени опираться на успех в комплаенсе, временем на устранение уязвимостей и управлению стоимостью ИБ. При этом меньшее внимание CISO в своей оценке уделять вопросам достижения контрольных точек\вех, влиянию инцидентов ИБ, среднему времени на обнаружение и реагированию (MTTD, MTTR).
7. На 21 % CISO оказывается давление для того, что бы они не сообщали о нарушении требований в адрес регуляторов. 59% CISO выразили готовность стать осведомителем (whistleblower) в случае нарушения организацией нормативных требований.
8. Важные аргументы при запросе бюджета в порядке приоритета: ИБ позволит новый функционал\опцию бизнесу, предоставить оценку киберриска и метрики, показать расчет стоимости простоя, оценить влияние на бизнес кибератак, подчеркнуть, что это требование нормативки.
9. В части угроз ИИ CISO опасаются сильнее всего высокачественного фишинга и ВПО которое сложнее будет обнаружить. Использовать ИИ для задач CISO скорее всего удастся для анализа ВПО, обнаружения и обогащения угроз и подготовки стандартов безопасности настройки ПО.
Опрос 500 CISO и 100 членов правления Splunk 2024 про CISO:
1. Увеличение доли подчиненных CEO CISO c 47% в 2023 до 82% в 2024.
2. CISO заметно приукрашают качество своего взаимодействия с членами правления (разрыв в оценке 10-20 %).
3. 83 % CISO теперь часто или постоянно присутствуют на заседании правления.
4. Интересная статистика по восприятию того, чем занимается команда безопасности: члены правления считают, что на технические операции и взаимодействие с ИТ уходит заметно меньше времени, и заметно больше на времени посвящается учету требований бизнеса, комплаенсу и ROI\управлению стоимостью ИБ.
5. По мнению членов правления CISO должен немного меньше внимания уделять вопросам комплаенса и взаимодействия и больше вопросам коммуникации и эмоционального интеллекта, бизнес ценности.
6. При этом члены правления, считают, что оценка эффективности CISO должна в большей степени опираться на успех в комплаенсе, временем на устранение уязвимостей и управлению стоимостью ИБ. При этом меньшее внимание CISO в своей оценке уделять вопросам достижения контрольных точек\вех, влиянию инцидентов ИБ, среднему времени на обнаружение и реагированию (MTTD, MTTR).
7. На 21 % CISO оказывается давление для того, что бы они не сообщали о нарушении требований в адрес регуляторов. 59% CISO выразили готовность стать осведомителем (whistleblower) в случае нарушения организацией нормативных требований.
8. Важные аргументы при запросе бюджета в порядке приоритета: ИБ позволит новый функционал\опцию бизнесу, предоставить оценку киберриска и метрики, показать расчет стоимости простоя, оценить влияние на бизнес кибератак, подчеркнуть, что это требование нормативки.
9. В части угроз ИИ CISO опасаются сильнее всего высокачественного фишинга и ВПО которое сложнее будет обнаружить. Использовать ИИ для задач CISO скорее всего удастся для анализа ВПО, обнаружения и обогащения угроз и подготовки стандартов безопасности настройки ПО.
Splunk
The CISO Report: The Path to Digital Resilience Starts With Your Board | Splunk
Boards and CISOs have opportunities to better communicate, deepen relationships, and bridge the divide on critical goals, KPIs, and future investments.